Noté que mi servidor SQL no funcionaba en mi sitio web de WordPress hace 2 días. No podía entender por qué no podía reiniciar el servidor SQL, así que miré mis registros.
Noté que esta IP estaba llegando a mi archivo xmlrpc.php. Los registros se ven así:
80.82.xx.xxx - - [06/Oct/2015:07:11:36 -0500] "POST /xmlrpc.php HTTP/1.0" 403 - "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
El IP realiza esa solicitud varias veces por segundo durante horas seguidas.
No soy un administrador de sistemas con mucha experiencia y no tenía la seguridad adecuada configurada, pero después de que esto sucedió:
- xmlrpc deshabilitado para mi aplicación de wordpress
- incluyó esa IP en la lista negra en cPanel y WHM
- configurar cloud flare y ponerme en modo DDoS
Ahora me di cuenta de que la IP recibe un error 403 ahora y antes no:
80.82.xx.xxx - - [04/Oct/2015:07:02:48 -0500] "POST /xmlrpc.php HTTP/1.0" 500 251 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html)"
Mis preguntas son:
¿He tomado las medidas adecuadas para proteger mi servidor? ¿Hay algo más que deba hacer?
¿Esos errores 403 agotan los recursos de mi sistema?
¿Realmente estoy recibiendo ataques DDoS o se trata de otra cosa? Ya lleva 3 días.
¿Cuándo sería seguro reducir la configuración de mi nube?
Gracias.
Respuesta1
¿He tomado las medidas adecuadas para proteger mi servidor? ¿Hay algo más que deba hacer?
Ha mitigado este ataque en particular, pero no confiaré en su "servidor", ya que se convirtió en un pedazo de basura comprometida el segundo después de instalar cPanel/WHM. te sugiero que aprendasadecuadoadministración del servidor, reinstale el servidor desde cero y evite instalar semejantes tonterías en el futuro.
Además, nunca consideraría que Wordpress sea seguro; consideraría usar Ghost o un sitio estático para reducir la superficie de ataque y el uso de recursos.
¿Esos errores 403 agotan los recursos de mi sistema?
Un poquito, pero cualquier servidor decente debería poder responder con cientos de 403 por segundo con muchos recursos restantes.
¿Realmente estoy recibiendo ataques DDoS o se trata de otra cosa? Ya lleva 3 días.
Este es un DoS involuntario. El verdadero motivo del ataque es forzar las credenciales de administrador de su blog, pero al enviar tantas solicitudes por segundo lograron sobrecargar su base de datos. Además, si proviene de una única IP, es simplemente un DoS, no un DDoS (lo que significa distribuido, también conocido como múltiples fuentes).
¿Cuándo sería seguro reducir la configuración de mi nube?
Bueno, como viste tú mismo, Cloudflare no hizo mucho contra este ataque, así que supongo que no hace ninguna diferencia. En mi opinión personal, lo único que hacen bien es ocultar la IP real de su servidor y protegerlo de ataques de agotamiento de ancho de banda, pero cualquier otra cosa como estas solicitudes válidas (pero aún maliciosas) todavía están pasando.